服务端配置公钥以后多了一个authorized_keys
里面就是存储的公钥信息:
会发现被连接服务器公钥和连接服务器公钥是一样的,如果不需要免密登陆就去被连接服务器(服务端)清空/root/.ssh/authorized_keys
里面的公钥信息即可:
-
生成公钥:
ssh-keygen
-
添加公钥:
ssh-copy-id 用户@ip
-
限制root直登:
vim /etc/ssh/sshd_config
里面有一项是:#PermitRootLogin yes
,把前面的#
删掉,并把yes改为no,就不可以使用root直接登陆了,但需要重启服务才会生效:systemcctl restart sshd
- 限制秘钥直登(不能免密登陆了):
vim /etc/ssh/sshd_config
里面有一项是:#PubkeAuthentication yes
,吧前面的#
删掉 并把yes改为no即可,需要重启服务:systemctl restart sshd
- 限制密码验证(慎重,这个做了可能导致服务器无法登陆):
vim /etc/ssh/sshd_config
里面有一项是:#PasswordAuthentication yes
,吧前面的#
删掉 并把yes改为no即可,需要重启服务:systemctl restart sshd
========================================================================
报错内容
原因:就是连接服务器(客户端)中存储的被连接服务器(服务端)公钥信息发生了改变而已,只需要在链接服务器(客户端)中删除被连接服务器(服务端)的公钥信息就可以了。
报错处理
-
在连接服务器的
/root/.ssh
里面 删除存储的公钥known_hosts
信息重新ssh 就可以了。 -
vim /root/.shh/known_hosts
在里面找到对应的ip(如下图,需要删除无法连接的IP公钥信息),删除即可解决。
Connection reset by peer报错说明
- 如果免密登陆报错内容如下,并且不能直接通过ssh方式登陆被连接服务器(如下的227)。
- 原因:
这是删除了公钥文件(或公钥文件丢失) 没有ssd重启服务(systemctl restart sshd
),会出现上述报错,并且该服务器不能通过ssh或任何远程软件登陆。
- 解决方法
从后台登陆无法登陆服务器,然后重启下ssd服务即可(重启后就会自动生成公钥文件):systemctl restart sshd
免密登陆是通过ssh登陆的,只是少了输入密码这一步,在接触免密要登陆前有必要了解 ssh 的基本运作条件,因为ssh无法使用,ssh免密也就无法使用。 下面下说一下 shh 的目录这些以及运行条件 不说基本命令的使用,我使用的工具是secureCRT。
连接服务器(客户端) 存储目录
连接服务器(客户端):家目录/root/ .ssh/known_hosts
里,未ssh连接过任何服务器所以里面是空白:
被连接服务器(服务端)存储目录
被连接服务器(服务端):/etc/ssh/ssh_host_*
都是公钥信息:
实验说明(懂的可不看)
下面开始以后缀225和226的服务器做演示:225为连接服务器,226为被连接服务器,所有以root为例:
- 第一次被连接的服务器都会提示该界面 以保存公钥信息 输入yes 后才会到输入密码界面,第二次起就直接到输入密码界面了:
这时可以看到连接服务器里多了被连接服务器的信息 所有已连接过的服务器信息都会保存在这(当前在225上):
- 至于被连接服务器里的一串公钥文件,可以不用在意,但需要注意的是,如果被连接服务器的公钥指纹发生了改变 ,(如删除公钥信息:
rm -rf /etc/ssh/ssh_host_*
,删除后务必重启sshd服务 否则ssh无法使用):systemctl restart sshd
,客户端再次被连接就会报错 如:
现在226是能正常被225连接的:
现在去226服务器删除公钥指纹信息 删除后一定要重启ssh服务!!!!!:
如果删除了公钥文件 没有重启服务,会出现以下报错,并且该服务器不能通过ssh或任何远程软件登陆:
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!